Au moins deux organisations de piratage distinctes, dont une Acteur nord-coréen lié à l’État et un groupe criminel à motivation financièreexploitent les blockchains publiques pour dissimuler et gérer les logiciels malveillants, selon une étude du Threat Intelligence Group de Google. Cette méthode rend leurs opérations très résistantes aux efforts de démontage conventionnels. La technique, que les chercheurs ont baptisée EtherHiding, modifie fondamentalement la façon dont les attaquants gèrent et déploient le code malveillant en intégrant des instructions dans des contrats intelligents sur des blockchains publiques au lieu de s’appuyer sur des serveurs de commande et de contrôle conventionnels. Cette approche exploite les caractéristiques décentralisées et immuables de la technologie blockchain pour créer ce que la recherche décrit comme une infrastructure « à toute épreuve ». Robert Wallace, responsable du conseil chez Mandiant, une filiale de Google Cloud, a qualifié ce développement d’« escalade du paysage des menaces ». Il a noté que les pirates ont développé une méthode qui est « résistante aux retraits des forces de l’ordre » et qui peut être « facilement modifiée pour de nouvelles campagnes ». La conception de base de la blockchain garantit qu’une fois les données enregistrées, elles ne peuvent pas être modifiées ou supprimées, offrant ainsi aux attaquants une plate-forme persistante et fiable pour leurs opérations qui n’est pas soumise aux procédures de retrait typiques ciblant les serveurs centralisés. EtherHiding a été observé pour la première fois en 2023 lors d’une campagne connue sous le nom de ClearFake, dans laquelle des cybercriminels ayant des motivations financières ont utilisé de fausses invites de mise à jour du navigateur pour attirer les victimes. Le concept sous-jacent consiste à stocker du code ou des commandes malveillants dans une transaction blockchain ou, plus communément, un contrat intelligent. Les attaquants récupèrent ensuite ces informations à l’aide d’appels en lecture seule à la blockchain. Étant donné que ces appels n’écrivent pas de nouvelles données ni ne transfèrent d’actifs, ils ne créent pas de transactions visibles dans le grand livre public. Cette furtivité permet au malware de recevoir des instructions sans laisser de trace claire aux analystes de sécurité. En conséquence, les défenseurs ne peuvent pas compter sur les indicateurs de compromission traditionnels, tels que les domaines malveillants ou les adresses IP, qui sont au cœur de la détection et du blocage conventionnels des menaces. Le rapport indique que tant que la blockchain reste opérationnelle, le « code malveillant reste accessible ». Les chercheurs ont identifié que les deux groupes avaient adapté EtherHiding à des objectifs différents. Le groupe affilié à la Corée du Nord, identifié sous le nom d’UNC5342, intègre cette technique dans des campagnes d’ingénierie sociale sophistiquées conçues pour infiltrer les réseaux de développeurs et d’entreprises de cryptomonnaie. En revanche, le groupe financier UNC5142 utilise EtherHiding pour faciliter la distribution à grande échelle de logiciels malveillants voleurs d’informations en compromettant un grand nombre de sites Web WordPress. Le groupe menaçant nord-coréen UNC5342 a intégré la technique EtherHiding dans une opération plus large qui Réseaux de Palo Alto anciennement nommée campagne Contagious Interview. Cette campagne implique des tactiques d’ingénierie sociale dans lesquelles les attaquants se font passer pour des recruteurs sur des sites de réseaux professionnels comme LinkedIn et divers sites d’emploi. Ils approchent les développeurs de logiciels avec des offres d’emploi frauduleuses provenant d’entreprises fabriquées de toutes pièces, « BlockNovas LLC » et « Angeloper Agency » étant deux exemples de faux noms d’entreprises utilisés. Les attaquants visent à établir une relation avec leurs cibles avant de les faire passer à l’étape suivante de l’attaque. Après avoir établi un premier contact, les acteurs derrière UNC5342 attiraient les développeurs ciblés dans des entretiens mis en scène menés sur des applications de messagerie cryptées telles que Telegram et Discord. Au cours de ce qui a été présenté comme une évaluation technique ou un défi de codage, les victimes ont été invitées à télécharger et à exécuter des fichiers à partir de référentiels publics sur GitHub ou npm. Ces fichiers étaient censés faire partie du processus d’entretien mais contenaient secrètement des charges utiles de logiciels malveillants. Les principales familles de malwares identifiées dans cette campagne sont JadeSnow, un téléchargeur, et InvisibleFerret, une porte dérobée. Ces deux outils malveillants sont conçus pour utiliser EtherHiding pour leurs communications de commande et de contrôle, en se connectant aux contrats intelligents contrôlés par les attaquants déployés sur les réseaux Ethereum et BNB Smart Chain pour recevoir des instructions. La chaîne d’infection initiée par UNC5342 est méthodique. Le téléchargeur JadeSnow est le premier composant à s’exécuter sur le système d’une victime. Il est programmé pour interroger des contrats intelligents spécifiques sur la blockchain afin de récupérer des charges utiles JavaScript cryptées. Ces charges utiles, une fois décryptées, sont chargées de fournir la porte dérobée principale, InvisibleFerret. Une fois le malware InvisibleFerret installé et actif sur une machine compromise, il offre aux attaquants un large éventail de capacités. Celles-ci incluent la possibilité d’exfiltrer des données sensibles, de capturer les informations d’identification des utilisateurs et d’exercer un contrôle à distance sur le système infecté. Dans certains cas observés, les chercheurs ont noté qu’InvisibleFerret avait déployé un module supplémentaire de vol d’informations d’identification spécialement conçu pour cibler les navigateurs Web et les portefeuilles de crypto-monnaie populaires comme MetaMask et Phantom. Les données volées grâce à ces activités sont ensuite exfiltrées vers des serveurs contrôlés par les attaquants et également envoyées vers des chaînes Telegram privées. La campagne poursuit un double objectif pour le régime nord-coréen : générer des revenus illicites grâce au vol de cryptomonnaies et recueillir des renseignements stratégiques auprès des développeurs compromis et de leurs employeurs. Dans une enquête distincte, Google Mandiant a détaillé les activités d’UNC5142, un acteur malveillant motivé par des raisons financières qui s’appuie également sur EtherHiding. L’objectif principal de ce groupe est d’infecter un grand nombre de sites Web pour diffuser diverses familles de logiciels malveillants voleurs d’informations. La méthode du groupe consiste à compromettre les sites WordPress présentant des failles de sécurité et à leur injecter des téléchargeurs JavaScript malveillants, collectivement appelés ClearShort. Ces scripts sont conçus pour utiliser des contrats intelligents sur la chaîne intelligente BNB comme couche de contrôle résiliente, récupérant les charges utiles de deuxième étape ou redirigeant les victimes vers des pages de destination hébergées par des attaquants. L’infrastructure opérationnelle de l’UNC5142 se distingue par son utilisation intensive de services légitimes pour masquer ses activités malveillantes. Le groupe héberge ses pages de destination malveillantes sur le service pages.dev de Cloudflare, ce qui rend le trafic plus légitime, tandis que les informations de commande et de contrôle de base sont stockées sur la blockchain. À la mi-2025, l’équipe de Google avait identifié des traces de scripts injectés par UNC5142 sur environ 14 000 sites Web distincts. L’architecture du groupe a également évolué, passant d’un contrat intelligent unique à un système à trois niveaux plus complexe qui imite un « modèle de proxy » logiciel. Cette structure avancée se compose d’un contrat de routeur qui dirige le trafic, d’un contrat d’empreinte digitale pour profiler le système de la victime et d’un contrat de charge utile qui stocke les données cryptées et les clés de déchiffrement. Cette conception permet aux attaquants de mettre à jour leur infrastructure, comme les URL de leurre ou les clés de chiffrement, sur des milliers de sites infectés simultanément via une seule transaction blockchain, qui peut coûter aussi peu qu’un dollar en frais de réseau. Pour fournir ses charges utiles finales, UNC5142 utilise des tactiques d’ingénierie sociale, telles que l’affichage de fausses pages de vérification Cloudflare ou d’invites frauduleuses de mise à jour du navigateur Chrome. Ces leurres sont conçus pour persuader les victimes d’exécuter des commandes malveillantes, généralement cachées dans ce qui semble être une action légitime. Une exécution réussie conduit à la livraison de puissants infostealers, notamment Vidar, Lummac.V2 et RadThief. Les campagnes du groupe démontrent une nette progression en termes de sophistication technique, avec une évolution vers des normes de chiffrement plus strictes comme AES-GCM et des techniques d’obscurcissement plus avancées. Dans un exemple documenté, le JavaScript de l’attaquant a récupéré du code HTML chiffré depuis Cloudflare, qui a ensuite été déchiffré côté client. Cette page déchiffrée a incité l’utilisateur à exécuter une commande PowerShell cachée qui téléchargeait la charge utile finale, souvent déguisée en fichier multimédia inoffensif. L’analyse des transactions blockchain a révélé que l’UNC5142 maintenait au moins deux infrastructures parallèles, que les chercheurs ont baptisées principale et secondaire. Les deux utilisaient un code de contrat intelligent identique et étaient financés par des portefeuilles de crypto-monnaie liés via l’échange OKX. Les attaquants ont été observés mettant à jour les deux infrastructures à quelques minutes d’intervalle, une action qui suggère fortement un contrôle coordonné par un acteur unique et organisé. La recherche souligne que ni UNC5342 ni UNC5142 n’interagissent directement avec les nœuds blockchain. Au lieu de cela, ils dépendent de services centralisés, tels que des points de terminaison publics d’appel de procédure à distance (RPC) ou des fournisseurs d’API tiers, pour récupérer les données de la blockchain. Cette dépendance crée ce que les chercheurs appellent des « points d’observation et de contrôle », où les défenseurs ou les prestataires de services pourraient potentiellement intervenir. Dans le cas de UNC5342, les chercheurs ont contacté plusieurs fournisseurs d’API utilisés dans la campagne. La réponse était incohérente ; alors que certains fournisseurs ont agi rapidement pour bloquer l’activité malveillante, d’autres ne l’ont pas fait. Selon les chercheurs, cette coopération inégale « augmente le risque de prolifération de cette technique parmi les acteurs de la menace ». La nature inhérente des contrats intelligents pose un défi de taille, car ils sont à la fois publics et immuables. Une fois déployé, leur code ne peut être supprimé ou bloqué par les équipes de sécurité, même s’il est signalé comme malveillant. Les filtres de sécurité basés sur le réseau, conçus pour les modèles de trafic Web traditionnels, ont du mal à analyser et à bloquer efficacement les modèles décentralisés associés aux technologies Web3. L’anonymat offert par les adresses des portefeuilles de crypto-monnaie, combiné au coût extrêmement faible des transactions blockchain, permet aux acteurs malveillants d’adapter rapidement leurs tactiques et de poursuivre leurs campagnes indéfiniment. Les chercheurs ont estimé que pour UNC5142, la mise à jour d’une chaîne complète de distribution de logiciels malveillants coûte entre 25 cents et 1,50 $ par transaction, offrant ainsi à ces attaquants une agilité opérationnelle qui surpasse l’infrastructure conventionnelle.
